США традиционно не являлись мировым лидером в области законодательства, касающегося обеспечения конфиденциальности персональных данных и информационной безопасности, однако там в последнее время был принят ряд законов. Существенное влияние на организации в США в плане безопасности и конфиденциальности оказал закон Гремма—Лича Блили (Сгатт-ЬеасЬ ВИЧеу АСТ — 61_ВА), вступивший в силу в 1999 г. Действие его было направлено на компании, предоставляющие финансовые услуги. Возможные санкции за невыполнение требований закона относились к тем компаниям, которые «были не столь тщательны, как следовало бы» в обеспечении конфиденциальности данных своих клиентов. Аналогично требованиям, выработанным десять с лишним лет назад в Европе, данный закон требует от финансовых учреждений и аффилированных с ними организаций обеспечивать безопасность, включая целостность и конфиденциальность персональных данных физических лиц.
В соответствии с этим законом финансовые учреждения должны разработать программу обеспечения информационной безопасности, основанную на оценке рисков, привносимых потенциальными угрозами и уязвимостями. К реализации программы должны быть привлечены совет директоров и высшее руководство. Данная программа включает эффективное управление рисками, мониторинг и внесение корректировок, а также отчетность перед руководством. В ней предусматривается рассмотрение следующих вопросов:
|
|
• контроль доступа;
• управление конфигурациями;
• выявление вредоносных программ;
• обеспечение выполнения требований политики безопасности;
• мониторинг и управление правами пользователей;
• безопасность инфраструктуры и сетей передачи данных.
Действие закона GLBA распространяется на банки, страховые компании, брокерские фирмы, налоговые и бухгалтерские фирмы, платежные карточные системы и ряд других организаций, в отношении каждой из которых существует соответствующий регулятивный надзорный орган (например, Комиссия по ценным бумагам и биржам или Федеральная корпорация страхования вкладов США). В соответствии с положениями закона регулятивные агентства несут ответственность за проверку (аудит) соблюдения GLBA.
Вторым важным законом, напрямую касающимся конфиденциальности и безопасности, является Акт в отношении медицинского страхования (Health Insurance Portability and Accountability Act — HIPAA), утвержденный в качестве закона США в 1996 г., хотя многие из его положений, включая положение о конфиденциальности персональных данных, были опубликованы много позднее (Положение о конфиденциальности персональных данных — в августе 2002 г., Положение о безопасности — в феврале 2003 г.). Основным стимулом принятия акта являлись не столько безопасность и конфиденциальность, сколько стандартизация информации о состоянии здоровья, которой обмениваются страховые компании и медицинские учреждения, упрощающая обмен данными между страховщиками и медиками. HIPAA, однако, требует от юридических лиц, на которых распространяется его действие, принятия разумных и надлежащих физических, технических и организационных мер безопасности, направленных на обеспечение целостности и конфиденциальности информации о состоянии здоровья физических лиц, находящейся в их распоряжении или переданной ими; защиты от возможных угроз, несанкционированного использования или раскрытия данных; обеспечения соблюдения требований безопасности должностными лицами и служащими. Неудивительно, что требования HIPAA более детальные, чем требования GLBA, поскольку до принятия закона HIPAA организации в сфере здравоохранения делали слишком мало для защиты конфиденциальности информации и зачастую продавали персональную информацию третьим сторонам (например, фармацевтическим компаниям).
|
|
В целом положение о безопасности HIPAA требует от организаций применения унифицированного подхода к защите информации как от внутренних, так и от внешних угроз. Данный акт требует производить систематические, детализированные и точные оценки рисков и содержит определенные рекомендации в отношении того, как это делать. Подобно другим рассмотренным законодательным актам он, однако, технологически нейтрален, т.е. не предписывает характер технических решений, подлежащих внедрению. Организации сами должны демонстрировать регулирующим органам, что они обеспечивают выполнение закона или же что они действовали разумным образом в целях соблюдения требований закона.
Закон также содержит положение о регулярных проверках на соответствие требованиям, однако порядок проведения таких проверок, а также кем именно они должны проводиться до сих пор не уточнены.
Обсуждение требований в области контроля было бы неполным без рассмотрения закона Сарбейнса—Оксли (S0X), который был принят в 2002 г. Этот закон оказал огромное воздействие на процесс развития, внедрения и мониторинга систем внутреннего контроля компаний, включенных в листинги бирж США. Принятый первоначально как реакция на крупные скандалы, связанные с мошенничеством (примерами могут служить MCI и «Энрон»), как способ «защитить инвесторов посредством повышения точности и достоверности раскрываемой корпоративной информации», закон имел большое значение для бизнеса и информационной безопасности.
Наибольшее влияние на информационную безопасность оказали статьи 302 и 404 этого закона. Статья 302 предусматривает, что главный исполнительный директор (СЕ0) и главный финансовый директор (CF0) должны лично заверять точность и полноту финансовых отчетов. Более того, они должны также оценивать эффективность системы внутреннего контроля в отношении процесса формирования финансовой отчетности и представлять соответствующий отчет (включая меры контроля в области информационных технологий и информационной безопасности). Статья 404 устанавливает, что компании должны производить оценку эффективности системы внутреннего контроля и уведомлять о результатах оценки Комиссию по ценным бумагам и биржам (SEC). Предусмотрено также требование к официальным аудиторам компании оценивать и указывать в своем заключении мнение об эффективности системы внутреннего контроля. Иными словами, в законе отмечено, что:
— руководство отвечает за внедрение и функционирование системы внутреннего контроля в отношении процесса формирования финансовой отчетности;
|
|
— руководство компании обязано провести по результатам финансового года оценку эффективности системы внутреннего контроля;
— официальные аудиторы компании должны удостоверить эту оценку и подготовить соответствующий отчет.
Хотя ведущие аудиторские фирмы и раньше оценивали систему внутреннего контроля при проверке финансовой отчетности, S0X сделал этот процесс более жестким и обязательным. Как результат, международные аудиторские стандарты были пересмотрены на предмет большего отражения процедур, основанных на подходе с точки зрения рисков и мер контроля, даже для компаний, формально не подпадающих под действие S0X. Очевидно, что оценка внутренней системы контроля не может быть осуществлена без рассмотрения вопросов информационной безопасности, за исключением, возможно, лишь случая, когда финансовые отчеты и документы подготавливаются без использования информационных систем! Незащищенные системы не могут рассматриваться в качестве источника достоверной финансовой информации.
Для целей контроля и содействия аудиторам в оценке соответствия S0X был создан Надзорный совет по финансовой отчетности публичных акционерных обществ (Public Company Accounting Oversight Board — PCAOB), на который была также возложена задача разработки стандартов аудита. Выбранные РСАОВ типовые меры контроля, разработанные Комитетом финансирующих организаций (C0S0), обеспечивают структурированные руководства по внедрению системы внутреннего контроля.
Хотя рамки C0S0 и представляются хорошей моделью, они не дают достаточной информации в отношении сопутствующих средств контроля в области информационных технологий и безопасности. В этой связи в дополнение к C0S0 используются меры контроля стандарта корпоративного управления и аудита в области информационных технологий C0BIT, разработанного Ассоциацией по контролю и аудиту информационных систем (ISACA). Институт ISACA по корпоративному
управлению в области информационных технологий (ITGI) разработал на базе C0S0 и C0BIT совокупность целевых мер контроля в области информационных технологий и безопасности в контексте требований S0X.
|
|
Хотя руководство и вправе принять решение об использовании иной структуры при разработке системы внутреннего контроля, это потребует значительных усилий в плане разработки внутренней документации и обоснования того, почему выбранный подход отличается от рекомендованного ITGI. В связи с этим можно ожидать, что компании будут следовать рекомендациям ITGI для внедрения и оценки мер контроля в области информационных технологий и безопасности в соответствии с требованиями закона Сарбейнса—Оксли.
В дополнение к приведенным выше примерам законодательного и регуляторного характера в некоторых отраслях существуют специальные требования, которые организациям необходимо выполнять. Например, в отрасли платежных карт обязательное соблюдение ряда стандартов и предписаний является условием выпуска и процессинга карт различных брэндов. Платежная система Visa издала «Стандарты обеспечения безопасности данных при использовании платежных карт» с обязательным минимальным комплексом мер по обеспечению информационной безопасности. Подобно многим другим регламентирующим предписаниям, упомянутым выше, в них отсутствуют директивы в отношении использования определенных технологий, но содержится достаточно подробный перечень целей контроля. Другой отличительной особенностью этих стандартов является требование о проведении регулярного внешнего аудита на соответствие стандартам с использованием специально предписанной аудиторской программы. Соответствующий аудит должен проводиться квалифицированной аудиторской компанией, получившей аккредитацию у полномочного органа платежной системы (Visa, MasterCard) на проведение таких проверок.
Мы рассмотрели ряд международных законо- 3.1.1.4. Общий лейтмотив дательных актов, каждый их которых был разработан с конкретной целью, напрямую не связанной с информационной безопасностью, но оказывал влияние на организации в части необходимости внедрения мер безопасности. Эти законодательные акты относятся к большинству организаций, для которых (за исключением случаев, когда организации являются поставщиками услуг в области безопасности) информационная безопасность не является основным видом деятельности, а только средством по защите конфиденциальности, целостности и доступности информации. Все они объединены общей идей — действовать «разумно» с точки зрения защиты информации. Отдельные акты имеют более предписывающий характер, чем другие, но ни один из них не определяет того, какие технологии должны использоваться или какие конкретные средства контроля должна внедрить и реализовать организация, чтобы выполнить требования законодательства. В этой связи действия аудиторов заключаются в том, чтобы как можно более гибко подходить к вопросам толкования оценки соответствия мер контроля, внедренных организацией, требованиям законодательства.
Аудиторы могут возразить, что эта неопределенность увеличивает риск: если бы, например, законодательные акты четко определяли, что все страховые компании обязаны иметь межсетевые экраны определенного типа, настроенные предписанным образом, то тогда проводить аудит было бы намного проще. Однако организация может реально не нуждаться в рекомендованной технологии или могут существовать веские коммерческие причины, по которым ей необходима другая конфигурация, которая никоим образом не подвергает риску общий уровень безопасности.
Следовательно, гибкость законов и регулятивных норм является положительным фактором, они предоставляют организациям общие рамки, в которых те должны действовать, что не противоречит общей фундаментальной правовой концепции «разумной необходимости», но оставляет открытым вопрос, что считать разумно необходимым.
По крайней мере, все обсуждаемые нами законодательные акты и во многих других случаях содержат требование о проведении определенного рода оценки рисков и создании на базе этой оценки мер защиты.
3.1.1.5. Общие проблемы Соблюдение рассмотренных законодательных актов может потребовать от организаций существенных затрат. Так, затраты, связанные с соблюдением требований HIPAA, даже в небольших организациях являются значительными, особенно с учетом того, что раньше требований безопасности в области медицинского страхования практически не было. Одна крупная американская компания, занимающаяся медицинским страхованием, затратила более 11 млн долларов только на выплаты консультантам, для того чтобы обеспечить соблюдение требований закона HIPAA. Компании, подпадающие под действие S0X, потратили гораздо больше, несмотря на то, что сложно сказать, какая часть этих средств непосредственно связана с информационными технологиями и информационной безопасностью, в любом случае это немалая сумма.
Аналогично законы и регулятивные нормы не учитывают организационные последствия внедрения этих требований. Что касается S0X, то здесь проведение организационных изменений неизбежно. В сущности все акты, рассмотренные выше, требуют создания новых должностей (офицер по обеспечению конфиденциальности персональных данных, офицер информационной безопасности, аудитор безопасности и т.д.), но не дают достаточной информации, какие требования предъявляются к профессиональной подготовке и навыкам таких сотрудников, или нечетко определяют, какие другие обязанности могут быть совмещены с выполнением этих полномочий. Остается открытым вопрос, где найти соответствующим образом подготовленный персонал (и определить его необходимую квалификацию) и как эффективно управлять людскими ресурсами, для того чтобы-обеспечить правильное распределение обязанностей. Это оборотная сторона большинства таких законодательных актов: они определяют общие направления, но зачастую эти общие направления не дают ответы на многие вопросы. За исключением актов, регулирующих деятельность в сфере выпуска и процессинга платежных карт, большинство законодательных актов допускают большое число толкований: что такое «разумная необходимость», люди могут понимать по-разному.
Все законодательные акты подразумевают ту или иную форму проверки выполнения требований — либо внутреннюю проверку, как в случае с Data Protection Act в Великобритании, либо внешнюю. Сложность проведения аудита в таких условиях отдаляет выполнение требований. Например, неясно, кто должен проводить проверку соблюдения требований HIPAA и каковы цели и основные области этой проверки. В ближайшей перспективе компании будут привлекать независимых аудиторов осуществлять проверки по типу «диагностики на соответствие требованиям», для того чтобы продемонстрировать законодателям и регулирующим органам, что они делают все правильно в отсутствие проведения официальной аудиторской проверки на
3.1.1.6. Преимущества На Западе многие сотрудники, занимаю-
законодателъных щие должности, связанные с обеспечени-
и регулятивных актов ем информационной безопасности в орга
низациях, сетуют, что они не имеют должного авторитета в организации, а выделяемых из бюджета средств недостаточно для того, чтобы обеспечить необходимый для бизнеса уровень безопасности. Чаще всего компании не уделяют должного внимания информационной безопасности и сосредоточены на поставленных задачах и целях, которые порой входят в противоречие с правилами соблюдения безопасности. В США во время бума электронной коммерции произошел определенный положительный сдвиг в осознании связи целей бизнеса и вопросов безопасности, например надлежащий уровень защищенности транзакций через Интернет становится конкурентным преимуществом. Но даже такие «продвинутые» компании не смогли ответить на два основных вопроса: какой уровень безопасности необходим компании? как компания может доказать наличие необходимого уровня безопасности и надлежащего контроля?
Законы и регулятивные нормы оказались очень полезны для повышения статуса специалистов по безопасности, у которых сейчас появилось право действовать. Они могут сделать что-то, чтобы обеспечить выполнение требований законодательства, и поэтому к мнению таких специалистов нужно прислушиваться. Особенно это относится к компаниям, подпадающим под действие S0X, где высшее руководство несет уголовную ответственность за несоблюдение закона. Как результат, информационная безопасность в компаниях вышла на новый уровень. Сотрудники службы безопасности в настоящий момент перегружены работой с целью выполнения требований законодательства, не всегда понимая, как этого добиться, но по крайней мере теперь они могут обратиться к руководству с требованием увеличения финансирования.
Многие из рассмотренных законов сопровождались внезапным всплеском финансирования на совершенствование информационной безопасности и других мер контроля, но, возможно, в будущем такая
тенденция не сохранится. Проблемой остается недостаточный уровень внешнего аудита на соответствие требованиям законодательства. Поэтому мероприятия по контролю соблюдения нормативных актов являются важными для поддержания информационной безопасности как приоритетной задачи на уровне компании.
С учетом того что законы и нормативные 3.1.1.7. Роль стандартов акты дают возможность увидеть только
часть ситуации и требуют от руководства компании поступать правильно, возникает вопрос, на который необходимо ответить: как выполняются требования законодательства и, что более важно, как можно доказать, что эти требования выполняются? Все законодательные акты содержат требование проведения оценки рисков и разработки политики информационной безопасности. В то же время только некоторые из них предписывают, как должна разрабатываться политика безопасности, кто из руководства должен отвечать за ее разработку и усовершенствование и как эта политика должна выполняться. Содержание политики информационной безопасности освещено только частично и вряд ли достаточно для того, чтобы организация могла хоть что-нибудь внедрить. С одной'стороны, это неплохо, гибкость в законодательстве означает, что организация может сама разработать политику, которая удовлетворяет ее текущим и будущим потребностям, а также отражает реальные условия, существующие в организации. Было бы абсурдным, например, предписывать, чтобы все организации разработали политику в отношении безопасности переносных компьютеров, если организация не использует переносные компьютеры!
И вот здесь на помощь приходят стандарты. Большинство законодательных актов разработано с учетом консультаций, полученных от различных органов по стандартизации. Стандарты в области информационных технологий и безопасности обеспечивают руководство следующим уровнем детализации, который законы и нормативные акты не дают и не должны давать.
Конечно, стандарты не являются обязательными и не устанавливаются в законодательном порядке, но, однако, они дают руководству возможность доказать, что оно «действует надлежащим образом» и таким образом продемонстрировать свое выполнение требований законодательства.
Существует огромное количество стандартов в области информационных технологий и безопасности, одни из них — отраслевые, другие — общие. Большинство из них основаны на оценке рисков как неотъемлемой части процесса их внедрения и соблюдения. С учетом того, что законы и регулятивные акты также требуют проведения оценки рисков при построении системы внутреннего контроля и обеспечения безопасности, это означает, что стандарты являются первым правильным шагом на пути выполнения требований законодательства.
3.1.1.8. Влияние В связи с тем, что существует множество международных стандартов в области информационной стандартов______________ безопасности, организации нередко сталкиваются с проблемой выбора наиболее для них подходящего. Поскольку для организаций, к которым предъявляются требования S0X, институт IT6I определил подходящие меры контроля в области информационных технологий (ИТ) и безопасности на основе стандарта C0BIT [35], представляется, что данным организациям имеет смысл начинать с внедрения этого стандарта.
C0BIT представляет собой стандарт корпоративного управления ИТ, разработанный ISACA. Он адресован специалистам в области ИТ, руководству и аудиторам, поэтому является полезным инструментом для организаций: помогает руководству и сотрудникам понять необходимость контроля и позволяет объяснить требования бизнеса техническим сотрудникам.
C0BIT рассматривает корпоративное управление ИТ в рамках четырех основных групп процессов (доменов):
• организация и планирование (РО);
• приобретение и внедрение (AI);
• функционирование и поддержка (DS);
• мониторинг и оценка (ME).
В каждом из доменов выделяются отдельные процессы (всего 34), для каждого из них приводятся требования к мерам контроля.
Среди процессов C0BIT существует отдельный процесс, посвященный обеспечению информационной безопасности (DS5), хотя и в остальных процессах приводятся отдельные меры контроля, связанные с безопасностью.
Отличительной особенностью C0BIT является наличие руководства по аудиту, содержащего подробную методику проверки мер контроля
по всем 34 основным процессам ИТ, в том числе по процессам, связанным с безопасностью. В этом руководстве подробно рассказывается, с кем из сотрудников следует провести интервью, какие документы проанализировать, что необходимо протестировать. В связи с выходом в декабре 2005 г. новой версии C0BIT 4.0 в настоящее время разрабатывается соответствующее руководство по аудиту.
C0BIT является полезным инструментом для аудиторов (внутренних и внешних), он предоставляет подход, с помощью которого проверяется уровень зрелости мер контроля в области ИТ. Это делает его ценным инструментом для руководства организации с целью определения того, как «надлежит» действовать, и позволяет сконцентрировать ресурсы для совершенствования мер контроля в тех областях, где требуются улучшения.
После вступления в силу S0X все больше внимания уделяется корпоративному управлению, а значит, и управлению ИТ; все больше организаций рассматривают внедрение C0BIT как метод совершенствования мер контроля в области ИТ. Более того, даже безотносительно требований S0X организации все чаще требуют от независимых консультантов провести проверку по C0BIT, для того чтобы оценить эффективность корпоративного управления ИТ.
Другим полезным инструментом, который может использоваться для совершенствования системы информационной безопасности, является ITIL — набор оптимальных методов и принципов, которые определяют интегрированный, основанный на процессах подход по управлению информационными технологиями. Заинтересованность в применении ITIL постоянно растет по всему миру.
ITIL также рекомендует внедрение эффективных мер в области информационной безопасности на стратегическом, тактическом и операционном уровне. Обеспечение информационной безопасности рассматривается как цикличный процесс с фазами планирования, внедрения, оценки и поддержки. ITIL оперирует такими понятиями в области информационной безопасности, как политики, процессы, процедуры и инструкции.
С некоторыми особенностями аналогичные подходы прослеживаются в C0BIT, а также в нормативных и законодательных актах. Хотя в ITIL отсутствуют непосредственные специализированные стандарты оценки соответствия, тем не менее ITIL близок Британскому стандарту BS 15000 [36], посвященному управлению ИТ-сервисами и методам оценки. Оценка качества аудиторов BS 15000 осуществляется UKAS (Британское агентство аккредитации). UKAS устанавливает основные требования в отношении аудиторов в части обучения, квалификации, наличия опыта у сертификационных компаний (т.е. у компаний/аудиторов, которые проводят сертификационный аудит). UKAS регулярно проводит аудит сертификационных компаний с целью убедиться, что они могут документально подтвердить свою компетентность по проведению сертификационных аудитов. BS 15000 содержит подробные руководства для организаций, которые желали бы получить сертификацию, и требования в отношении аудиторов. В 2005 г. стандарт BS 15000 был представлен в ISO и по завершении ускоренной и упрощенной процедуры его рассмотрения был принят как IS0/IEC 20000 [37].
Еще одним широко обсуждаемым стандартом в области безопасности является стандарт IS0/IEC 15408 (Общие критерии) [38], который был гармонизирован в России как ГОСТ Р ИС0/МЭК 15408. Этот стандарт технический и иногда труден для восприятия бизнесом. Он полезен для поставщиков и покупателей продукции информационной безопасности, для того чтобы определить, насколько хорош механизм защиты в приобретаемой продукции. К сожалению, он не помогает руководству разобраться, правильно ли оно действует. Даже если определены конкретные технологические требования к безопасности отдельных систем, неправильное внедрение или работа любого устройства или системы ни в коей мере не улучшит общий уровень безопасности организации в целом. Область применения этого стандарта в целях соответствия регулирующим требованиям достаточно ограничена. Однако существуют исключения, в частности в области процессинга платежных карт, где определенные технические требования IS0/IEC 15408 встречаются, например, в программах проверки на соответствие требованиям в области безопасности со стороны платежной системы MasterCard.
Наиболее известными и широко используемыми стандартами управления информационной безопасностью и доказательством соблюдения нормативных актов и законодательства являются международные стандарты серии IS0/IEC 2700Х по управлению информационной безопасностью. Беря свое начало от первоначальных Британских стандартов 7799 (в последующем IS0/IEC 17799 [39] и IS0/IEC 27001 [24]), эти стандарты конкретно и четко определяют, как эффективно внедрить систему управления информационной безопасностью. Есть несколько причин, почему эти стандарты настолько популярны, и не последняя из них та, что существуют четкие методы проведения аудиторских проверок на соответствие и даже возможность сертификации по Б0/1ЕС 27001. Эти стандарты помогают ответить на вопрос: «как доказать, что в организации обеспечен требуемый уровень безопасности?» и убедить регулирующие органы, что «все выполняется правильно» и «надлежащим образом».
Стандарты охватывают все основные сферы требований, предъявляемых законодательством и нормативными актами, упомянутыми выше. Краеугольным камнем соответствия стандартам является понимание того, какими информационными активами обладает организация, и внедрение требуемого уровня мер контроля, основанного на оценке рисков.
БОДЕС 17799, БОДЕС 27001 — просто и доступно написанные стандарты, предоставляющие полезные руководства по мерам контроля, которые организация захочет внедрить. При этом стандарты понятны как специалистам в области информационной безопасности, так и руководству и помогают преодолеть коммуникационный барьер между обеими сторонами, обеспечив тем самым понимание руководством, что делается и почему. Руководство рассматривается стандартом как ключевое звено при постановке целей в области информационной безопасности.
Для того чтобы быть сертифицированной по этому стандарту, организация должна также доказать, что у нее существуют процедуры по идентификации законов и нормативных актов, касающиеся ее с точки зрения защиты информации, у нее должна существовать программа по соблюдению этих нормативных требований. И тогда сертификация по 150/1ЕС 27001, если она проведена надлежащим образом, гарантировала бы, что организация на деле соблюдает все законодательные и нормативные акты, регулирующие ее деятельность.
Приложение А стандарта БОДЕС 27001 содержит перечень мер контроля, которые должны быть внедрены в организации, желающей пройти сертификацию (однако не все меры контроля из данного списка обязательно должны быть внедрены, если существует документально подтвержденное решение руководства на этот счет, основанное на оценке рисков). Многие компании используют этот стандарт как средство самооценки, поскольку методик по проведению оценки безопасности недостаточно; некоторые компании стремятся пройти официальный сертификационный аудит у аккредитованных независимых
аудиторских компаний. Аналогично BS 15000, описанному выше, компании, проводящие сертификационный аудит, должны быть аккредитованы в отношении стандарта BS 7799 (часть 2) органом UKAS в Великобритании. По мере перевода британских стандартов в статус международных (ISO) аккредитация также становится возможной через органы ISO. В опубликованном документе ЕА-7/3 (Аккредитация организаций, занимающихся сертификаций систем управления информационной безопасностью) Европейской комиссии по аккредитации, перечислены основные требования в области независимости, квалификации и внутренней системы контроля качества в отношении таких организаций. Эти требования к качеству процесса сертификации и квалификации аудиторов обусловлены необходимостью доверия результатам сертификации.
Сертификация по стандартам также требует проведения регулярных аудиторских проверок в целях обеспечения и поддержания соответствия выполнения требований и для того, чтобы процесс управления безопасностью функционировал надлежащим образом. Это сокращает разрыв, который в настоящий момент существует в большинстве законодательных актов: как доказать регулирующим органам, что организация постоянно соблюдает требования законодательства? Это также облегчает сотрудникам службы безопасности получение финансирования на поддержание программы управления безопасностью, и не только на сам сертификационный аудит, но и на весь комплекс мер в области безопасности.